image

Microsoft: SolarWinds niet aangevallen via Office 365

zondag 7 februari 2021, 09:27 door Redactie, 15 reacties

Er zijn geen aanwijzingen dat softwarebedrijf SolarWinds is aangevallen via Office 365 of een ander Microsoft-product, zo stelt Microsoft. Berichtgeving van Reuters dat Microsofts eigen producten door de aanvallers voor verdere aanvallen zijn gebruikt is onjuist, aldus het techbedrijf.

Bij de aanval op SolarWinds wisten aanvallers toegang tot de ontwikkelomgeving van het bedrijf te krijgen en konden zo updates voor het SolarWinds Orion-platform van een backdoor voorzien. Door middel van deze backdoor kregen de aanvallers weer toegang tot allerlei bedrijven en overheidsinstanties. Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) meldde dat de aanvallers naast de SolarWinds-backdoor ook andere aanvalsvectoren gebruikten.

Microsoft bevestigt dat. Het gaat onder andere om spearphishing, webshells, password spraying en 'delegated credentials'. Microsoft zegt zelf geen initiële toegangsvector voor de SolarWinds-aanvallers te zijn geweest. "Data die bij Microsoft-diensten wordt gehost, waaronder e-mail, was soms een doelwit bij deze aanvallen, maar de aanvaller had dan op een andere manier al inloggegevens verkregen", laat de techgigant in een update over het incident weten.

Reacties (15)
07-02-2021, 12:59 door Anoniem
tja weet je mijn probleem met dit soort berichtgeving is: het bewijst namelijk helemaal niets, iets niet gezien te hebben (en dat is dus niet hetzelfde als stellen 'er is dus niets').

verder, tegenwoordig is spinnen en damage-control bij bedrijven (en politici) een std maneuver en ik vraag me dus af of ze uberhaupt wel met berichten naar buiten zouden komen die wel duidelijk aantoonbaar een 'link' / 'verband' leggen.

we hebben allemaal wel zo onze vertrouwens issues inmiddels gehad met een grote bank / tech bedrijf / industrie / overheid waarbij het spinnen en down-playen tot op het onhoudtbare toe geprobeert wordt. GGD, belastingdienst, identiteit fraude, whatsapp fraudes die mensen overkomen en 'je zoekt het maar uit', gezondheidszorg, politie, defensie en onderwijs kapot. ik zie dat allemaal als maatschappelijk gevolgen van een doorgeslagen mark denkerij waarbij het oog op mensen en menselijkheid verloren is gegaan en er alleen op de korte financiele termijn 'gestuurd' wordt.

ik pleit hiermee niet meteen voor socialisme oid, maar het is wel erg naief om vol te blijven houden dat 'alles wel vanzelf goed komt' als de pijn prikkels (tgv het nemen van risicos) niet liggen op de juiste plek (je krijgt positieve feedback loop).

we zullen echt veel meer bestuurders en politici en bank directeurtjes enzv. persoonlijk verantwoordelijk moeten gaan houden als die zich niet transparant opstellen maar wel met de ruif er steeds vandoor gaan. dat verantwoordelijk stellen van individuen zal uiteindelijk er ook voor zorgen dat security binnen bedrijven en overheden toe zullen nemen en geballanceerder worden (en kosten daarvan in acht worden genomen in de buisness case ipv indirect op klanten of burgers af te wenden).

efin, ik schaar dit berricht zelf maar weer onder de 'nep nieuws' ruis waar we maatschappelijk niet veel aan hebben...
07-02-2021, 15:05 door karma4
Door Anoniem: ....efin, ik schaar dit berricht zelf maar weer onder de 'nep nieuws' ruis waar we maatschappelijk niet veel aan hebben...
Dat je vat probeert te houden aan een eigen gemaakte waarheid valt gewoon onder nepnieuws.

Ik kan me wel vinden in het verantwoordelijk houden en ook aansprakelijk stellen van de bestuurders.
Bij Target is de bestuurder gedwongen vertrokken. De cultuur was te veel een afvinklijstje halen en niet de kwaliteit om de boel echt veilig te maken en te houden. Hamers van ING en Jeroen ter Veer (voormalig Shell) tonen een houding van politieke onschendbaarheid hoe fout het ook is wat onder hun leiding gebeurd is. Uh nee media berichten vertellen niet zonder meer de waarheid, Media leeft van aandacht verkoop het verdienmodel.
07-02-2021, 15:51 door walmare
Er zijn geen aanwijzingen dat softwarebedrijf SolarWinds is aangevallen via Office 365 of een ander Microsoft-product , zo stelt Microsoft.
Hoezo zou MS dit kunnen weten?. Is windows spyware in het SolarWinds netwerk?
07-02-2021, 17:01 door Anoniem
Door walmare:
Er zijn geen aanwijzingen dat softwarebedrijf SolarWinds is aangevallen via Office 365 of een ander Microsoft-product , zo stelt Microsoft.
Hoezo zou MS dit kunnen weten?. Is windows spyware in het SolarWinds netwerk?

MS refereert naar een onderzoek van SolarWinds
https://orangematter.solarwinds.com/2021/02/03/findings-from-our-ongoing-investigations/
While we’ve confirmed suspicious activity related to our Office 365 environment, our investigation has not identified a specific vulnerability in Office 365 that would have allowed the threat actor to enter our environment through Office 365.
07-02-2021, 17:10 door Anoniem
Door karma4:
Door Anoniem: ....efin, ik schaar dit berricht zelf maar weer onder de 'nep nieuws' ruis waar we maatschappelijk niet veel aan hebben...
Dat je vat probeert te houden aan een eigen gemaakte waarheid valt gewoon onder nepnieuws.

"het bewijst namelijk helemaal niets, iets niet gezien te hebben (en dat is dus niet hetzelfde als stellen 'er is dus niets')."
07-02-2021, 17:15 door Anoniem
Bij mij is het vertrouwen in Office365, Azure en AD in de cloud WEG. En Microsoft zal meer moeten doen dan wat ontkennen!
Men moet ook stoppen met biometrische data te gebruiken als MFA. Dat deugt gewoon niet! Er zijn betere oplossingen voor.
07-02-2021, 17:24 door karma4
Door walmare:
Er zijn geen aanwijzingen dat softwarebedrijf SolarWinds is aangevallen via Office 365 of een ander Microsoft-product , zo stelt Microsoft.
Hoezo zou MS dit kunnen weten?. Is windows spyware in het SolarWinds netwerk?
Duidelijk niet Solarwinds heeft wat wekr uitbesteed in Belarus en andere plaatsen wegens de kosten.
Nadat FireEye in een logging vreemd gedrag zag is men gaan spitten. Dan is het waarschijnlijk dat SolarWinds openheid heeft moeten geven van wat er gebeurd is en wat ze gedaan hebben. https://www.nytimes.com/2021/01/02/us/politics/russian-hacking-government.html Een faal in het versioneren van code, waarschijnlijk git, wat anders.
07-02-2021, 19:47 door Anoniem
Een faal in het versioneren van code, waarschijnlijk git, wat anders.

Kun je dat onderbouwen?

Je weet dat github van microsoft is?

En dat je github gebruik dus automatisch impliceerd het gebruik van git?


ref: https://en.wikipedia.org/wiki/GitHub
07-02-2021, 22:11 door Anoniem
Door karma4:
Door walmare:
Er zijn geen aanwijzingen dat softwarebedrijf SolarWinds is aangevallen via Office 365 of een ander Microsoft-product , zo stelt Microsoft.
Hoezo zou MS dit kunnen weten?. Is windows spyware in het SolarWinds netwerk?
Duidelijk niet Solarwinds heeft wat wekr uitbesteed in Belarus en andere plaatsen wegens de kosten.
Nadat FireEye in een logging vreemd gedrag zag is men gaan spitten. Dan is het waarschijnlijk dat SolarWinds openheid heeft moeten geven van wat er gebeurd is en wat ze gedaan hebben. https://www.nytimes.com/2021/01/02/us/politics/russian-hacking-government.html Een faal in het versioneren van code, waarschijnlijk git, wat anders.

Zodra je technisch probeert te doen, ben je weer helemaal fout, karma4 .
Waarom kun je het toch niet laten, om te over wat niet snapt te bullshitten ?
Terwijl er meer dan genoeg inmiddels bekend is over Solarwinds - en nee, het was geen faal in versioning. De malware werd in de compiler geschoven tijdens het builden .

Het zou ook handig zijn als je leer om 'url' tags te gebruiken. Het is niet zo moeilijk .
vierkante haak open , url , vierkante haak sluiten. Dan de url . Dan vierkante haak open, slash (/) , url , vierkante haak sluiten.

De NYT artikel zegt natuurlijk niks - alleen algemene bla hack bla russen .

Telkens vraag ik me af waar ik me meer aan erger, die wannabe fanboy pubers die denken dat een OS platform de enige factor is, of zo'n een voormalig overhead type als jij - wel wat organisatie inzicht, maar ver weg van enige inhoud - en toch maar doen alsof je daar verstand van hebt om de fanboys te jennen.

Over versioning :

De malware was resident op de compile host, en schoof de foute source in de compiler zodra het build proces herkend werd.

https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

Tegen die methode helpt een source code control system (welke dan ook) niet, want de malware code zit helemaal niet in het source repository. Evenzeer helpt 'code review' van de code in de source repo niet.


Er is niks ongeloofwaardigs aan het statement van Microsoft dat er op moment geen aanwijzingen zijn dat die initiële hack via een gehacked Office 365 / MS product kwam.
Zij zijn vanzelfsprekend in staat om ongebruikelijke activiteit/logs/etc van een Office365 klant te zien - en _reken maar_ dat ze gezocht hebben, rondom Solarwinds.
08-02-2021, 08:34 door karma4
Door Anoniem: Er is niks ongeloofwaardigs aan het statement van Microsoft dat er op moment geen aanwijzingen zijn dat die initiële hack via een gehacked Office 365 / MS product kwam.
Zij zijn vanzelfsprekend in staat om ongebruikelijke activiteit/logs/etc van een Office365 klant te zien - en _reken maar_ dat ze gezocht hebben, rondom Solarwinds.
Aannames en veronderstellingen met een hoog nerd flaming gehalte zonder de politieke en operationele voorwaarden te zien.
Natuurlijk zullen ze gezocht hebben toen ze en de gegevens konden krijgen en wisten wat het probleem was.
Aangezien de supplier keten bij Solarwinds een jaar eerder is gecompromiteerd, stel eens de vraag waarom niemand wat opviel. Een bedrijf dat deze als kernactiviteit heeft en zo in de basis geraakt is. Hoe kun je zoveel code ongemerkt er aan toe voegen en niemand dat wat ziet.
08-02-2021, 11:34 door Anoniem
Door karma4:
Door Anoniem: Er is niks ongeloofwaardigs aan het statement van Microsoft dat er op moment geen aanwijzingen zijn dat die initiële hack via een gehacked Office 365 / MS product kwam.
Zij zijn vanzelfsprekend in staat om ongebruikelijke activiteit/logs/etc van een Office365 klant te zien - en _reken maar_ dat ze gezocht hebben, rondom Solarwinds.
Aannames en veronderstellingen met een hoog nerd flaming gehalte zonder de politieke en operationele voorwaarden te zien.

Natuurlijk stap je vrolijk over je misser omtrent revision control heen .
En roept wat grote woorden zonder concrete inhoud.


Natuurlijk zullen ze gezocht hebben toen ze en de gegevens konden krijgen en wisten wat het probleem was.

Ik geef het niet graag toe - maar Microsoft _is_ tegenwoordig ook proactief en serieus qua security.
En inzake Solarwinds lijkt het er niet op dat de initiele hack van Solarwinds iets te maken heeft met het een breach van Office365 .
Dat werd ongefundeerd beweerd - en er is geen reden om dat aan te nemen. En ook geen reden om aan te nemen (zoals walmare deed) dat Microsoft ergens moet hacken. Ze kunnen,moeten hun O365 dienst monitoren en zien wat er wel, of niet, via die dienst aan 'unusual activity' gebeurd is.


In geval van een _andere_ hack - Malware bytes - was er een aanval via een 'third party email security application' , gebruikt door Malwarebytes bij hun Office365 service , die opviel in de Office365 monitoring. En gedetecteerd /onderzocht werd door Microsoft .
https://threatpost.com/malwarebytes-solarwinds-attackers/163190/

Ik zal dat geen 'insecure Office 365 noemen' - als je als klant een product installeert en toegang geeft tot je Office365 omgeving , en dat product is/wordt geback-doored is dat Microsoft niet aan te rekenen . Ik kan alleen maar zeggen 'goed werk door Microsoft hier' , dat ze dit gezien hebben en onderzochten.



Aangezien de supplier keten bij Solarwinds een jaar eerder is gecompromiteerd, stel eens de vraag waarom niemand wat opviel. Een bedrijf dat deze als kernactiviteit heeft en zo in de basis geraakt is. Hoe kun je zoveel code ongemerkt er aan toe voegen en niemand dat wat ziet.

Waarom zeg je 'supplierketen BIJ Solarwinds' ?
Solarwinds _is_ de supplierketen voor al die instellingen die via hun product gehacked werden.

Kun jij dan zeggen via welke 'supplierketen' Solarwinds zelf initieel gehacked is ?
Verder kun je je inderdaad afvragen waarom ze de voordurende aanwezigheid van de hackers niet opmerkten. Aan de andere kant - het waren heel duidelijk professionals - erg voorzichtig om niet ontdekt te worden.
Het niet-zien van state actors overkomt meer partijen van wie je beter verwacht.
(Iran zag Stuxnet niet in het nucleaire installatie . Eén van de Russische geheime diensten zag de AIVD/MIVD niet in hun netwerk.. etc.)

Maar met wat nu weten over de manier van code toevoegen kun je wel begrijpen dat die toegevoegde code niet snel gezien wordt.
Het is _erg_ zeldzaam dat developers terug moeten kijken in de binary wat de compiler gemaakt heeft van hun source.
09-02-2021, 05:46 door Anoniem
Door Anoniem: tja weet je mijn probleem met dit soort berichtgeving is: het bewijst namelijk helemaal niets, iets niet gezien te hebben (en dat is dus niet hetzelfde als stellen 'er is dus niets').
Alleen is het niet realistisch om te denken dat men wel met absolute zekerheid kan zeggen dat het niet via Office 365 of een ander stuk software van Microsoft is gebeurd.

De reden daarvoor is dat niemand met absolute zekerheid kan garanderen dat er geen enkele bug in een complex geheel van software zit. Dat heeft ermee te maken dat elke test die uitgevoerd zou moeten worden om dat te kunnen bewijzen wel eerst door iemand bedacht moet worden. Het probleem is dat je wel op een rijtje kan zetten waar je allemaal aan gedacht hebt, en kan afvinken of je het getest hebt, maar je kan onmogelijk een lijstje maken van alles waar je niet aan denkt, simpelweg omdat je niets op een lijstje kan zetten zonder eraan te denken. Je kan daardoor nooit zeker weten of je volledig bent, ook al doe je je allerstinkendste best om volledig te zijn. Mensen die hier vreselijk goed in zijn denken aan meer en vinden meer dan anderen, maar juist die mensen begrijpen als geen ander dat ze niet alles kunnen weten en dingen kunnen missen.

En dus kunnen er onbekende bugs in software zitten, en dus kunnen er onbekende beveiligingslekken in software zitten (want dat zijn bugs), en dus blijft er altijd een mogelijkheid over dat er wel via bijvoorbeeld Office 365 is gewerkt maar dat men het niet heeft weten te herkennen. Zelfs de allerbeste mensen weten niet alles te herkennen, ook die hebben nog dingen waar ze niet opkomen, waar een aanvaller misschien wel is opgekomen.

Formuleringen als "er zijn geen aanwijzingen dat ..." worden typisch gebruikt door mensen die begrijpen dat ze onmogelijk volledig zeker kunnen zijn, en die niet gaan bluffen dat ze het wel zeker weten maar nauwkeurig uitdrukken wat de situatie is.

efin, ik schaar dit berricht zelf maar weer onder de 'nep nieuws' ruis waar we maatschappelijk niet veel aan hebben...
Dus jij denkt dat het pas echt nieuws is dat iets bewijst als men roept dat men zeker weet dat Office 365 niet is misbruikt? Juist die stelligheid zou een leugen zijn.

Het probleem met jouw houding is dat je zo gaat denken dat bluffers en leugenaars, die wel heel stellig zijn, geloofwaardiger zijn dan mensen die beseffen dat ze niet alles zeker kunnen weten en daar niet over liegen. De realiteit is dat de mensen die heel stellig en zeker overkomen vaak helemaal niet de mensen zijn die het het beste weten.
09-02-2021, 09:12 door Anoniem
Door Anoniem: Bij mij is het vertrouwen in Office365, Azure en AD in de cloud WEG. En Microsoft zal meer moeten doen dan wat ontkennen!
...

Die niet zo dramatisch man.....
Alle grote software en cloud aanbieders maken gebruik van SolarWinds, dit is al uitgebreid in het nieuws geweest.
Als je zo sterk reageert op MS, dan zou je voorlopig ALLE digitale diensten en software links moeten laten liggen.

Maar ja, als in het bericht MS genoemd wordt, krijgt men als snel rode vlekken voor de ogen.
Google, Amazon en Apple zijn in veel gevallen net zo goed/slecht.....
09-02-2021, 11:08 door Anoniem
Door Anoniem:
Door Anoniem: tja weet je mijn probleem met dit soort berichtgeving is: het bewijst namelijk helemaal niets, iets niet gezien te hebben (en dat is dus niet hetzelfde als stellen 'er is dus niets').
Alleen is het niet realistisch om te denken dat men wel met absolute zekerheid kan zeggen dat het niet via Office 365 of een ander stuk software van Microsoft is gebeurd.

De reden daarvoor is dat niemand met absolute zekerheid kan garanderen dat er geen enkele bug in een complex geheel van software zit. Dat heeft ermee te maken dat elke test die uitgevoerd zou moeten worden om dat te kunnen bewijzen wel eerst door iemand bedacht moet worden. Het probleem is dat je wel op een rijtje kan zetten waar je allemaal aan gedacht hebt, en kan afvinken of je het getest hebt, maar je kan onmogelijk een lijstje maken van alles waar je niet aan denkt, simpelweg omdat je niets op een lijstje kan zetten zonder eraan te denken. Je kan daardoor nooit zeker weten of je volledig bent, ook al doe je je allerstinkendste best om volledig te zijn. Mensen die hier vreselijk goed in zijn denken aan meer en vinden meer dan anderen, maar juist die mensen begrijpen als geen ander dat ze niet alles kunnen weten en dingen kunnen missen.

En dus kunnen er onbekende bugs in software zitten, en dus kunnen er onbekende beveiligingslekken in software zitten (want dat zijn bugs), en dus blijft er altijd een mogelijkheid over dat er wel via bijvoorbeeld Office 365 is gewerkt maar dat men het niet heeft weten te herkennen. Zelfs de allerbeste mensen weten niet alles te herkennen, ook die hebben nog dingen waar ze niet opkomen, waar een aanvaller misschien wel is opgekomen.

Formuleringen als "er zijn geen aanwijzingen dat ..." worden typisch gebruikt door mensen die begrijpen dat ze onmogelijk volledig zeker kunnen zijn, en die niet gaan bluffen dat ze het wel zeker weten maar nauwkeurig uitdrukken wat de situatie is.

efin, ik schaar dit berricht zelf maar weer onder de 'nep nieuws' ruis waar we maatschappelijk niet veel aan hebben...
Dus jij denkt dat het pas echt nieuws is dat iets bewijst als men roept dat men zeker weet dat Office 365 niet is misbruikt? Juist die stelligheid zou een leugen zijn.

Het probleem met jouw houding is dat je zo gaat denken dat bluffers en leugenaars, die wel heel stellig zijn, geloofwaardiger zijn dan mensen die beseffen dat ze niet alles zeker kunnen weten en daar niet over liegen. De realiteit is dat de mensen die heel stellig en zeker overkomen vaak helemaal niet de mensen zijn die het het beste weten.

nope.... gewoon nope... de berrichtgeving is en blijft ruis ongeacht wat ik daar nu van vindt... het is geen falsifiseerbaar of door anderen controleerbaar feit en gebruikt duidelijk onjuiste logica...
09-02-2021, 14:08 door walmare
Door Anoniem:
Door Anoniem: Bij mij is het vertrouwen in Office365, Azure en AD in de cloud WEG. En Microsoft zal meer moeten doen dan wat ontkennen!
...

Die niet zo dramatisch man.....
Alle grote software en cloud aanbieders maken gebruik van SolarWinds, dit is al uitgebreid in het nieuws geweest.
Als je zo sterk reageert op MS, dan zou je voorlopig ALLE digitale diensten en software links moeten laten liggen.

Maar ja, als in het bericht MS genoemd wordt, krijgt men als snel rode vlekken voor de ogen.
Google, Amazon en Apple zijn in veel gevallen net zo goed/slecht.....
Het is vooral het windowsoligopolie dat SolarWinds gebruikt. De vele opensource bedrijven hebben veel betere alternatieven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.